SSL VPN特殊场景配置
客户需求: 客户有一套业务系统,分别安装在总部服务器、各个门店服务器,业务系统要求互联互通。 1、服务器对门店要推送数据,门店需要对服务器提交数据。 2、门店之间也要互相传送数据。
分析: 按理说这种场景应该用总部VPN,各门店一台VPN,然后用DLAN互联就可实现。但客户只有一台VPN,考虑到成本问题各门店不想增加硬件设备而采用SSL VPN拨号方式互联。 最根本问题是: 一、需要总部服务器反向访问门店客户端,而L3VPN资源能使server需主动访问Client端的应用。 二、各门店之间需要能互访。将门店获取的虚拟IP池通过L3VPN资源形式发布出来,然后选择以虚拟IP为源访问。
配置过程: 一、解决问题一的配置: 1、【SSLVPN设置】-【用户管理】新建门店用户。
2、【SSLVPN设置】-【资源管理】创建L3VPN资源,地址填写服务器IP地址,类型:Other;协议:全部;端口1-65535(将业务系统以L3资源形式发布出来)
3、【SSLVPN设置】-【角色授权】把新创建的L3资源关联给门店用户
二、解决问题二配置: 1、【系统设置】-【SSLVPN选项】-【系统选项】-【虚拟IP池】新建虚拟IP地址池,分配给门店用户。 2、【SSLVPN设置】-【资源管理】创建L3VPN资源,把虚拟IP池以L3资源发布出来
3、【系统设置】-【SSLVPN选项】-【系统选项】-【资源服务选项】把L3VPN选择以虚拟IP为源访问 4、总部核心交换机上增加一条路由:内网有去往虚拟IP池网段的静态路由指向到SSL VPN设备 ip route-static 10.10.25.0 255.255.255.010.10.29.4
总体配置思路: 1、将总部服务服务器IP通过L3VPN资源形式发布出来, 2、将虚拟IP池通过L3VPN资源形式发布出来,然后选择以虚拟IP为源访问, 3、如果VPN设备是单臂部署切记写回包路由。 |